Yara tool'u nedir?

Nonantiy

Nonantiy

Moderasyon Ekibi Lider Yardımcısı
28 Haz 2020
1,980
1,077
Kayseri
İyi günler Türk Hack Team ailesi.
Bugün sizlere Yara tool'undan bahsetmek isterim. Bakalım bu Yara neymiş.
yara-logo-sized.jpeg


Simdi kısaca YARA tool'unu öğrenelim. YARA, zararlı yazılım analistlerinin kötü amaçlı yazılım örneklerinin tanımlanmasına ve sınıflanmasına yardımcı olan bir araçtır. Ama bununlada sınırlı değil. YARA tool'u ile metinsel veya ikili kalıplara dayalı olarak kötü amaçlı yazılım familyalarının açıklamalarını oluşturabillirsiniz. Her tanımlama bir dizi string ve mantıksal ifadekerden oluşur. Bir çok yerde kullanılan bir örneği size gösteriyim.
Kod: 
rule silent_banker : banker[/B][/SIZE][/COLOR][/CENTER]
[COLOR=rgb(255, 255, 255)][SIZE=5][B][CENTER]{
    meta:
        description = "This is just an example"
        threat_level = 3
        in_the_wild = true

    strings:
        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}
        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"

    condition:
        $a or $b or $c
}

Yukardaki kural bize herhangi bir dosyanın yukardki üç karakter dizisinden birini içermesi gerektiğini belirtmektedir.

Yara kullanmanın belirli faydaları bulunmaktadır. Yara kuralları zararlı yazılımları sınıflandırılmasında ve zararlı kodlarının tanımlanmasında kullanıldığını yukarde belirtim. Tespit edilen bir zararlı yazılım hangi familyadan veya hangi hacker grupları daha çok kullandığını öğrenebilliriz. Böyle artı yönleri bulunmaktadır. Bununlada bitmiyor bir zararlı yazılımda kullanılan zafiyetin hakkında bilgi alabilliyor olmamız bize avantaj sağlıyor.

Simdi YARA'nın parametrelerine bakalım.
-t <tag>tag olarak girmiş olduğumuz kuralı yazmakta.
-nNegatif anlamına gelir ve olumsuz olan kuralları yazdırır
-gTagları yazdırır
-mMetadataları ekrana yazdırır.
-sKuralda eşlesen stringleri ekrana yazdırır.
-a <saniye>Saniye girerek işlemi iptal etmeye yarar.
-fHızlı eşlestirme yapar.
-rTekrarlanan dizinleri arar
-wUyarıları devre dışı bırakmaya yarar
-vYardım kısmını gösterir

Belirli parametreler bunlar. İşinize yaraması amaçıyla buraya koydum umarım işinize yarar. Simdi Yara kurallı ile Stuxnet analizi yapalım.
Simdi Github'tan indirmiş olduğum kurallı kullanıcağım. Simdi örnek göstermek gerekirse Terminal'e su komutları giriyorum.
Kod: 
yara APT_Stuxnet.yar <Karsılaştıracağım dosyayı giriyorum>
Böylece karşılaştırdığım dosyanın içerisinde zararlı bir kodun olup olmadığını kontrol etiriyorum. Tabi yukarıdaki parametreleride isterseniz kullanabillirsiniz. Piyasada oldukça kullanılan bu tool'u umarım az buçuk anlamışsınızdır. Yardımları için @DeathWarrior01 e çok teşekür ederim.

İyi günler dilerim
 
A

Adanalıtrojan

Kıdemli Üye
25 Haz 2021
2,012
1,050
16
Konya Ovası Askeri Tesislerinde
Nonantiy' Alıntı:
İyi günler Türk Hack Team ailesi.
Bugün sizlere Yara tool'undan bahsetmek isterim. Bakalım bu Yara neymiş.
yara-logo-sized.jpeg


Simdi kısaca YARA tool'unu öğrenelim. YARA, zararlı yazılım analistlerinin kötü amaçlı yazılım örneklerinin tanımlanmasına ve sınıflanmasına yardımcı olan bir araçtır. Ama bununlada sınırlı değil. YARA tool'u ile metinsel veya ikili kalıplara dayalı olarak kötü amaçlı yazılım familyalarının açıklamalarını oluşturabillirsiniz. Her tanımlama bir dizi string ve mantıksal ifadekerden oluşur. Bir çok yerde kullanılan bir örneği size gösteriyim.
Kod: 
rule silent_banker : banker[/B][/SIZE][/COLOR][/CENTER][/B][/SIZE][/COLOR][/CENTER]
[COLOR=rgb(255, 255, 255)][SIZE=5][B][CENTER][COLOR=rgb(255, 255, 255)][SIZE=5][B][CENTER]{
    meta:
        description = "This is just an example"
        threat_level = 3
        in_the_wild = true

    strings:
        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}
        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"

    condition:
        $a or $b or $c
}


Yukardaki kural bize herhangi bir dosyanın yukardki üç karakter dizisinden birini içermesi gerektiğini belirtmektedir.

Yara kullanmanın belirli faydaları bulunmaktadır. Yara kuralları zararlı yazılımları sınıflandırılmasında ve zararlı kodlarının tanımlanmasında kullanıldığını yukarde belirtim. Tespit edilen bir zararlı yazılım hangi familyadan veya hangi hacker grupları daha çok kullandığını öğrenebilliriz. Böyle artı yönleri bulunmaktadır. Bununlada bitmiyor bir zararlı yazılımda kullanılan zafiyetin hakkında bilgi alabilliyor olmamız bize avantaj sağlıyor.

Simdi YARA'nın parametrelerine bakalım.
-t <tag>tag olarak girmiş olduğumuz kuralı yazmakta.
-nNegatif anlamına gelir ve olumsuz olan kuralları yazdırır
-gTagları yazdırır
-mMetadataları ekrana yazdırır.
-sKuralda eşlesen stringleri ekrana yazdırır.
-a <saniye>Saniye girerek işlemi iptal etmeye yarar.
-fHızlı eşlestirme yapar.
-rTekrarlanan dizinleri arar
-wUyarıları devre dışı bırakmaya yarar
-vYardım kısmını gösterir

Belirli parametreler bunlar. İşinize yaraması amaçıyla buraya koydum umarım işinize yarar. Simdi Yara kurallı ile Stuxnet analizi yapalım.
Simdi Github'tan indirmiş olduğum kurallı kullanıcağım. Simdi örnek göstermek gerekirse Terminal'e su komutları giriyorum.
Kod: 
yara APT_Stuxnet.yar <Karsılaştıracağım dosyayı giriyorum>
Böylece karşılaştırdığım dosyanın içerisinde zararlı bir kodun olup olmadığını kontrol etiriyorum. Tabi yukarıdaki parametreleride isterseniz kullanabillirsiniz. Piyasada oldukça kullanılan bu tool'u umarım az buçuk anlamışsınızdır. Yardımları için @DeathWarrior01 e çok teşekür ederim.

İyi günler dilerim
Genişletmek için tıkla ...
Eline sağilk güzel olmuş
 
Maveraün Nehr

Maveraün Nehr

Blue Team Expert
25 Haz 2021
975
1,861
41.303921, -81.901693
Nonantiy' Alıntı:
İyi günler Türk Hack Team ailesi.
Bugün sizlere Yara tool'undan bahsetmek isterim. Bakalım bu Yara neymiş.
yara-logo-sized.jpeg


Simdi kısaca YARA tool'unu öğrenelim. YARA, zararlı yazılım analistlerinin kötü amaçlı yazılım örneklerinin tanımlanmasına ve sınıflanmasına yardımcı olan bir araçtır. Ama bununlada sınırlı değil. YARA tool'u ile metinsel veya ikili kalıplara dayalı olarak kötü amaçlı yazılım familyalarının açıklamalarını oluşturabillirsiniz. Her tanımlama bir dizi string ve mantıksal ifadekerden oluşur. Bir çok yerde kullanılan bir örneği size gösteriyim.
Kod: 
rule silent_banker : banker[/B][/SIZE][/COLOR][/CENTER][/B][/SIZE][/COLOR][/CENTER]
[COLOR=rgb(255, 255, 255)][SIZE=5][B][CENTER][COLOR=rgb(255, 255, 255)][SIZE=5][B][CENTER]{
    meta:
        description = "This is just an example"
        threat_level = 3
        in_the_wild = true

    strings:
        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}
        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"

    condition:
        $a or $b or $c
}


Yukardaki kural bize herhangi bir dosyanın yukardki üç karakter dizisinden birini içermesi gerektiğini belirtmektedir.

Yara kullanmanın belirli faydaları bulunmaktadır. Yara kuralları zararlı yazılımları sınıflandırılmasında ve zararlı kodlarının tanımlanmasında kullanıldığını yukarde belirtim. Tespit edilen bir zararlı yazılım hangi familyadan veya hangi hacker grupları daha çok kullandığını öğrenebilliriz. Böyle artı yönleri bulunmaktadır. Bununlada bitmiyor bir zararlı yazılımda kullanılan zafiyetin hakkında bilgi alabilliyor olmamız bize avantaj sağlıyor.

Simdi YARA'nın parametrelerine bakalım.
-t <tag>tag olarak girmiş olduğumuz kuralı yazmakta.
-nNegatif anlamına gelir ve olumsuz olan kuralları yazdırır
-gTagları yazdırır
-mMetadataları ekrana yazdırır.
-sKuralda eşlesen stringleri ekrana yazdırır.
-a <saniye>Saniye girerek işlemi iptal etmeye yarar.
-fHızlı eşlestirme yapar.
-rTekrarlanan dizinleri arar
-wUyarıları devre dışı bırakmaya yarar
-vYardım kısmını gösterir

Belirli parametreler bunlar. İşinize yaraması amaçıyla buraya koydum umarım işinize yarar. Simdi Yara kurallı ile Stuxnet analizi yapalım.
Simdi Github'tan indirmiş olduğum kurallı kullanıcağım. Simdi örnek göstermek gerekirse Terminal'e su komutları giriyorum.
Kod: 
yara APT_Stuxnet.yar <Karsılaştıracağım dosyayı giriyorum>
Böylece karşılaştırdığım dosyanın içerisinde zararlı bir kodun olup olmadığını kontrol etiriyorum. Tabi yukarıdaki parametreleride isterseniz kullanabillirsiniz. Piyasada oldukça kullanılan bu tool'u umarım az buçuk anlamışsınızdır. Yardımları için @DeathWarrior01 e çok teşekür ederim.

İyi günler dilerim
Genişletmek için tıkla ...
String değişkenlik özellikleri barındırıyor mu acaba?
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.